برمجية CrashStealer الخبيثة تستهدف أجهزة ماك عبر انتحال أداة من آبل، لسرقة كلمات المرور وبيانات المتصفح ومحافظ العملات الرقمية.
ما هي برمجية CrashStealer التي تستهدف أجهزة ماك؟
ظهرت برمجية CrashStealer كتهديد جديد لمستخدمي macOS، بعدما جرى تمويهها داخل تطبيق يبدو موثوقاً ويحمل سلوكاً قريباً من أدوات النظام الرسمية. الخطورة هنا لا تتعلق فقط بسرقة الملفات، بل بمحاولة كسب ثقة المستخدم منذ لحظة التثبيت.
وبحسب ما رصده تيكبامين، فإن البرمجية تنتحل هوية أداة Crash Reporter المدمجة في macOS، ما قد يدفع بعض المستخدمين إلى التعامل معها باعتبارها جزءاً طبيعياً من النظام. هذا النوع من الخداع يرفع فرص نجاح الهجوم بشكل كبير.
كيف وصلت البرمجية إلى الضحايا؟
تم رصدها داخل تطبيق مزيف يحمل اسم Werkbit، وكان موثقاً بطريقة سمحت له بتجاوز بعض طبقات الحماية الأولية في macOS. لذلك لم تتوقف عند بوابة Gatekeeper كما يحدث مع كثير من التطبيقات المشبوهة.
- الواجهة تبدو شبيهة بأدوات آبل الأصلية
- عملية التثبيت تحاكي البرامج العادية المحملة من الويب
- البرمجية تعتمد على ملف CrashReporter.app مزيف لإقناع الضحية

ما البيانات التي تسرقها CrashStealer من macOS؟
لا تكتفي CrashStealer بجمع نوع واحد من البيانات، بل تبحث عن أكبر قدر ممكن من المعلومات الحساسة المخزنة على الجهاز. وهذا ما يجعلها أقرب إلى برمجيات سرقة المعلومات المتقدمة.
- بيانات المتصفحات وسجلات التصفح
- معلومات مديري كلمات المرور مثل 1Password وLastPass وDashlane
- إضافات أكثر من 80 محفظة عملات رقمية
- بيانات Keychain الخاصة بتسجيل الدخول
- ملفات من مجلدي Documents وDownloads
الأخطر أن البرمجية تطلب صلاحية الوصول الكامل إلى القرص بحجة الإدارة النظامية، ثم تعرض نافذة كلمة مرور تبدو أصلية تماماً. عند إدخال كلمة المرور، تستخدمها للوصول إلى keychain وسحب مزيد من البيانات.
لماذا تُعد هذه البرمجية خطيرة على مستخدمي آبل؟
تكمن خطورة CrashStealer في أنها ليست مجرد ملف ضار واضح المعالم، بل هجوم مصمم بعناية ليتخفى داخل تجربة استخدام مألوفة. كما أن البيانات المسروقة تُشفَّر قبل إرسالها إلى خادم المهاجم، ما يصعب تتبعها فوراً.
هذا يعني أن مستخدم ماك قد لا يلاحظ المشكلة إلا بعد فقدان حسابات مهمة أو تعرض محافظه الرقمية للاختراق. لذلك فإن الهجوم يضرب نقطتين معاً: الثقة في واجهة النظام، وحساسية البيانات المخزنة محلياً.
ما الذي فعلته آبل؟
جرى إلغاء شهادات التوقيع المرتبطة بالتطبيق الذي استُخدم لنشر البرمجية، وهو ما عطّل مسار الهجوم المكتشف حالياً. لكن ذلك لا يعني اختفاء التهديد نهائياً، لأن المهاجمين قد يعيدون نشر الفكرة بأساليب مختلفة.
كيف تحمي جهاز ماك من برمجية CrashStealer؟
أفضل وسيلة للحماية هي التشكيك في أي أداة تدّعي أنها Crash Reporter قابلة للتنزيل، لأن هذه الأداة موجودة أساساً داخل النظام ولا تحتاج إلى تثبيت منفصل. كما يجب الانتباه لأي تطبيق يطلب كلمة مرور النظام مباشرة بعد تشغيله.
- حمّل البرامج من مصادر موثوقة فقط
- لا تمنح Full Disk Access إلا عند الضرورة القصوى
- راجع طلبات كلمة المرور غير المتوقعة
- استخدم مدير كلمات مرور مع تنبيهات أمنية
- حدّث macOS والتطبيقات باستمرار
في النهاية، يوضح هذا الهجوم أن برمجية CrashStealer تستغل ثقة المستخدم ببيئة آبل أكثر من استغلالها لثغرة تقنية مباشرة. ولهذا ينصح تيكبامين بالتعامل بحذر مع أي تطبيق غير مألوف على ماك، خصوصاً إذا طلب صلاحيات واسعة أو كلمة مرور النظام منذ البداية.